CVE-2026-34568

Nome do Software Vulnerável e Versões Afetadas CI4MS versões anteriores a 0.31.0.0

Descrição A aplicação não sanitiza adequadamente a entrada controlada pelo usuário ao criar ou editar postagens de blog. Um invasor pode injetar um payload JavaScript malicioso no conteúdo da postagem do blog, que é então armazenado no lado do servidor. Este payload armazenado é posteriormente renderizado de forma insegura em várias visualizações da aplicação sem codificação de saída adequada, levando a um script entre sites (XSS) armazenado. A funcionalidade afetada inclui a criação, edição, armazenamento e lógica de recuperação de postagens de blog. Os invasores podem explorar isso inserindo um payload XSS no conteúdo da postagem do blog, que então é executado automaticamente quando a postagem é visualizada. Os endpoints da API afetados incluem /backend/blogs/create, /backend/blogs/ e /blog/{id}. O parâmetro vulnerável é o conteúdo da postagem do blog em si.

Recomendações Aplique a codificação de saída a todos os dados controlados pelo usuário antes de renderizá-los no navegador. Implemente a sanitização de entrada para sanitizar adequadamente toda a entrada fornecida pelo usuário antes do processamento ou saída. Aplique cabeçalhos e atributos de cookie de segurança, incluindo Política de Segurança de Conteúdo (CSP), a flag HttpOnly, o atributo SameSite e a flag Secure.